服務器虛擬化帶來的網絡現狀及問題分析
虛擬化下的網絡現狀調查報告(上)
虛擬化正迅速發(fā)展成為下一代數據中心的核心元素,而這種變化也給網絡帶來新的挑戰(zhàn)。本報告探討了虛擬基礎設施帶來的技術問題,并分享了讓你的網絡做好準備迎接虛擬化的標準、技術以及最佳做法。
早期服務器虛擬化部署大大節(jié)約了成本,而同時加強了部署靈活性和適應性。隨著虛擬化軟件逐漸成熟,簡單的服務器集成(1:10的集成度)開始讓道給涉及對服務器環(huán)境進行完全重新架構的策略。下一代服務器硬件將支持虛擬機,并且大部分軟件在設計時就考慮了虛擬化,也就是說,所有企業(yè)應用程序都將支持虛擬化。
這也給網絡帶來一些挑戰(zhàn):對帶寬和交換能力的要求,大大提高了拓撲復雜性,并且使管理復雜化,因為虛擬化模糊了物理和虛擬、網絡和服務器以及數據和存儲網絡之間的區(qū)別。
好消息是:在未來虛擬化為主的網絡新時代中,將會出現新標準和創(chuàng)新技術來幫助大家。例如,虛擬機需要從服務器遷移到另一個服務器,802.1QbhBridgePortExtension(橋接口擴展標準)就能夠解決這個問題。同時,供應商也在開發(fā)新技術,例如端口配置技術,能夠將正確的政策設置附加到虛擬機上,無論虛擬機在服務器還是VLAN移動都將適用。
本報告探討了高度虛擬化環(huán)境給網絡帶來的挑戰(zhàn),并分析了解決這種網絡復雜性的不同方法。
服務器虛擬化vs.網絡
服務器虛擬化就像是IT的“福音”。虛擬機比傳統(tǒng)操作系統(tǒng)或應用程序更加容易部署。企業(yè)還可以通過在單個服務器上運行多個虛擬機來減少成本。例如,在2010年的InformationWeekAnalytics對虛擬化的調查顯示,24%的受訪者在其生產環(huán)境中,平均每臺服務器運行六到九臺虛擬機,而另外16%運行10到20臺虛擬機(詳見圖1)。
▲圖1
當問及到明年年底將會對百分之多少的服務器進行虛擬化時,20%的受訪者表示至少有四分之一的服務器會進行虛擬化。而另外19%則表示一半或者一半以上(詳見圖2)。
▲圖2
但是虛擬化也有缺點,對于服務器管理員和網絡管理員而言。例如,2010年與2009年相比,IT增加了管理工具來解決虛擬機蔓延的問題(詳見圖3)。
▲圖3
而在網絡方面來看,雖然虛擬化減少了物理服務器的數量,但是虛擬化也增加了虛擬設備和網絡設備的數量。從交換機的角度來看,虛擬網絡端口與物理網絡端口存在一些差異。另外,虛擬機的增加(每臺虛擬機能夠處理更豐富的數據集)使網絡流量猛增,無論是在網絡核心還是邊緣。10臺或者20臺虛擬機共享相同的物理網絡端口,每臺虛擬機都運行很多應用程序,增加了數據量(無論是較大的電子郵件附件還是流媒體),造成潛在網絡瓶頸問題和管理難題。
此外,新的管理程序繼續(xù)改善了其網絡協議棧,甚至能夠擴展到10Gbps鏈接。
服務器的簡單化和網絡的復雜化,這個看似矛盾實而正確的組合有點類似于:如果數千名乘客愿意放棄個人轎車,而選擇共同乘坐小型火車,每個乘客要去不同的目的地。雖然這樣能夠減少高速公路上的汽車數量,但是這并不會減少行程距離,因為司機必須縱橫交錯地行駛將乘客送到不同的目的地。而且還使路線更加復雜化了。不是由每個乘客自己找出家和辦公室的最快路線,貨車司機必須優(yōu)化這些路線和時間表以盡量減少開車時間和縮短距離。
這個問題其實可以分解為五個問題:首先,增加的網絡復雜性會影響性能。除了增加網絡設備外,虛擬化增加了交換結構的層級,增加了延遲性、功能損耗和管理復雜度。
大多數數據中心使用三層結構:邊緣交換機、匯聚交換機和機架頂交換機(TOR)或者布線方式交換機EOR。管理程序增加了一個具有軟件交換機(又稱虛擬交換機)附件層來管理內部管理程序流量。有些服務器可能會使用具有硬件端口虛擬化的智能NIC,而刀片機箱往往有交換機模塊,每個模塊都會增加另一個交換層(見圖4)。
▲圖4
其次,物理服務器上的虛擬機器的集成會影響交換可擴展性和性能。隨著六核、八核甚至十核CPU的雙處理器變得越來越普遍,集成率將會逐漸上升。目前,管理程序虛擬交換機的工作量為每個系統(tǒng)10到15個虛擬機占用大約10%到15%的流量,但是當處理虛擬機時這個數字肯定將會增加。
此外,因為虛擬交換機在第2層運行,虛擬機的增加將會改變局域網拓撲,讓其變得更大。這還使在邊緣交換機出現之前局域網設計師遭遇的很多問題重新出現了,例如廣播流量開銷和地址表爆炸等問題。虛擬機集成率還限制了VLAN分區(qū)的有效性。因為虛擬交換機在第2層運行,更像是連接到外部網絡的橋梁,并且因為VLAN標簽是基于端口的,任何特定應用程序VLAN對于系統(tǒng)上的虛擬機都是可見的。因此,如果更多虛擬機共享相同的以太網端口,并且這些虛擬機上的不同的應用程序源自不同VLAN,然后每個端口將需要對更多VLAN的訪問權限,這大大限制了有效性。
.第三個挑戰(zhàn)是:軟件交換機使管理和安全復雜化了。網絡監(jiān)控、管理、流量報告和安全工具使用標準協議在物理端口上運行,但是隨著越來越多的流量在管理程序間交換,這些工具失去了對大量網絡活動的可視性。一些供應商讓其監(jiān)控和分析軟件能夠在虛擬機上使用來重新獲得可視性,但是這些都是專有解決方案,通常只能支持一個或兩個管理程序供應商,并且通常需要額外的證書成本。
虛擬化也加劇了IT部門的管理分化。例如,服務器組負責管理虛擬機、管理程序和虛擬交換機;網絡管理人員處理交換結構和政策;而存儲團隊處理SAN和相關光纖通道(FC)結構。從組織結構圖來看,這種劃分似乎很合理,但是如果這些團隊間沒有緊密的協調,就可能出現問題。例如,沒有經過網絡培訓或者沒有相關經驗的服務器和存儲管理員通常會對網絡進行配置更改。
第四個問題:將虛擬機無縫地透明地從一臺物理服務器轉移到另一臺服務器的過程讓管理和安全工作更加復雜化了。這種對應用程序工作負載進行動態(tài)移動的操作很難確保應用程序遵守網絡政策。網絡管理員可能將不同的應用程序服務器綁定到特定的VLAN,或者給應用程序網絡流量指定不同的QoS優(yōu)先級和安全ACL。但是如果虛擬機移動到位于完全不同局域網的另一臺服務器上,網絡管理系統(tǒng)如何知道遷移相應的政策?目前來看,網絡管理系統(tǒng)并不知道如何操作,除非網絡供應商在其交換機產品中整合了管理程序。這種整合可以是交換機到管理程序,例如思科和Arista的虛擬機API。這種整合還可以通過一個管理站,ExtremeNetworks提供的管理站。
網絡標準和技術的發(fā)展是基于這樣的假設:VLAN分配、QoS和ACL等政策是設置在物理接口(第二層)或端口(第三層)。雖然將這些政策綁定到特定虛擬機很難,然而,讓這些政策隨著虛擬機的移動保持同步則是難上加難。
第五個問題,虛擬化加劇了共享存儲的需求,因為存在從底層服務器硬件分離出OS映像、應用程序和數據的內在需求。對于這個問題,傳統(tǒng)解決方案是使用一個單獨的、專用的SAN,對于大多數人來說,這仍然意味著光纖通道。然而,SAN很昂貴,并且難于管理,添加了一個全新的網絡協議,交換結構和管理團隊。
隨著虛擬機數量及其存儲需求的增加,擴展和管理SAN變得具有挑戰(zhàn)性和復雜化。#p#
虛擬化下的網絡現狀調查報告(下)
虛擬化正迅速發(fā)展成為下一代數據中心的核心元素,而這種變化也給網絡帶來新的挑戰(zhàn)。本報告探討了虛擬基礎設施帶來的技術問題,并分享了讓你的網絡做好準備迎接虛擬化的標準、技術以及最佳做法。在上篇《服務器虛擬化帶來的網絡現狀及問題分析》中,我們已經分析了高度虛擬化環(huán)境給網絡帶來的挑戰(zhàn),在本篇當中,我們將分析解決這種網絡復雜性的不同方法。
應該說,這一連串的問題已經引起和行業(yè)的注意,并推出了很多新產品和標準來提高虛擬服務器網絡的性能、可擴展性和可管理性。
例如,將交換機從管理程序中脫離出來。虛擬交換機是解決交換多個獨立操作系統(tǒng)(每個系統(tǒng)有獨特的IP和MAC地址,共享相同的物理接口,這是以太網協議不涉及的情況)的特殊解決方案,雖然管理程序交換是可行的,但是還存在其他替代方案。
其中一種替代方法就是虛擬以太橋(VirtualEthernetBridging,VEB),它將橋接功能移動到一個智能NIC上,這個NIC支持所謂的單根I/O虛擬化(SingleRootI/OVirtualization,SR-IOV)(這是PCI-SIG提出的標準)。SR-IOV將智能NIC劃分為多個虛擬NIC,每個虛擬機分配一個NIC,它是通過為每個虛擬機提供獨立的內存空間、中斷和DMA流來實現的。這允許橋接發(fā)生在硬件,而不是在管理程序中。
當幾年前英特爾提出這種方法時,這似乎是一種很有前景的解決方案,但是由于NIC之間較差的互操作性,以及隨著每臺服務器承載的虛擬機數量增加而帶來的可擴展性問題,這種解決方案沒有贏得市場的青睞。另外一個問題是:每個嵌入式橋成了另一個需要管理的設備(與軟件交換機沒有什么區(qū)別),并且管理功能沒有被整合到整個網絡管理系統(tǒng)中。由于部署的不同(即擴展功能不是該標準的一部分),不同的NIC可能具有不同的橋接功能,而這些通常不能進行互相操作。
另一個解決方案是完全摒棄虛擬交換機,而將交換功能移回到邊緣設備,這也是每個網絡工程師認為交換功能應該存在的位置。
這也是該引入兩個新IEEE標準項目的時候了,這兩個標準屬于兩個平行且很大程度上互補的路線,都是對基礎IEEE802.1QVLAN標簽標準的修訂。
第一個也是較為成熟的標準是802.1Qbg邊緣虛擬橋接(EVB)。在惠普推出其相關技術后,這個標準有時也被稱為虛擬以太網端口聚合(VEPA),盡管惠普的VEPA實際上包含額外的專有功能。EVB的目的是允許多個虛擬機共享一個共同端口,而同時從外部橋(即作為反射繼電器的邊緣交換機)獲取服務。通常情況下,以太網幀并不會轉回它們進來的那個接口,這個動作會造成網絡端口形成環(huán)路。EVB提供了一個標準方法來解決這個問題。作為一個相對簡單的協議擴展,EVB很有吸引力,因為它可以部署在現有的硬件上,而只需對交換機和管理程序的軟件進行升級。
不幸的是,EVB還只是起步階段,它并不能解決政策管理問題,而且會給交換機帶來更多廣播和組播流量的負擔。這些棘手的問題正在通過802.1Qbh橋端口擴展來解決。雖然Qbg并不能修改底層以太網數據包,不過Qbh端口擴展標準增加了一個標簽,就像是標準VLAN標簽,允許網絡流量被映射到特定虛擬機,并當虛擬機在網絡移動時跟蹤虛擬機。
這兩個標準的修訂版在去年的冬天才發(fā)布,在兩個主要支持者(思科和惠普)之間存在激烈的技術辯論,在短期內應該無法達成協議。雖然兩家供應商都是通過虛擬機標簽的形式來增加協議,但細節(jié)不同,惠普對MAC安全標簽提出了修改,思科則提供了一種新的所謂的端口擴展標簽。最終,這個問題將會通過標準過程得到解決。結果將是可互相操作的網絡交換機和NIC,允許VM生成的流量能像其他網絡流量一樣管理。
標準發(fā)展的步伐緩慢意味著消除虛擬交換機層可能還要好幾年。不過,現在有很多技術可以簡化邊緣和存儲網絡。
10千兆以太網交換機端口和NIC接口的價格已經破了500美元大關,并且隨著今年主板局域網單芯片解決方案的推出,進一步的跌價是不可避免的。在刀片密集環(huán)境中,機架頂(TOR)拓撲比將電纜路由到端列頭交換機更有意義。
然而,機架內部的電纜管理是一個問題,尤其是當使用刀片時。每個機箱有12個或者更多服務器模塊,每個機架可能有50個或者更多服務器,也就是在完全冗余拓撲情況下,機架頂交換機有100多個Cat6電纜。路由所有這些銅線電纜不是簡單的事情。這也是很多刀片設計轉移到直通模塊的主要原因,這將每個服務器的LAN連接從機箱背板路由到配線架,到集成交換模塊(從單個機箱聚合流量的模塊)。然而,正如我們前面提到的,這又給交換結構增加了一層結構。
維持更平面的物理網絡有兩個解決方案。一種解決方案是使用新的高密度電纜標準,特別是MRJ21,它將6個RJ45電纜聚合到單個機箱,然后通過刀片直通模塊路由到TOR交換機。另一個方法是使用結構擴展器,例如思科的UCS2100,本質上擴展了Nexus5000TOR交換機的背板到UCS刀片機箱。這些產品相對較新,雖然它們在特定供應商生態(tài)系統(tǒng)能夠良好地工作,你需要根據你的具體需求來選擇解決方案。
LAN加上SAN
運行并行數據和存儲網絡的時代已經結束了,取而代之的是存儲I/O負載。10GbE使用GigE實現了帶寬價格的比價,能夠為網絡功能提供足夠的帶寬。這將是下一代虛擬服務器農場的默認存儲網絡配置。
根據特定I/O流量,從TOR交換機到聚合層的回程可以通過10Gbps鏈接或者移動到最近推出的40GbE標準來實現。今年的Interop大會簡直是40GbE發(fā)布大會,ExtremeNetworks和Force10推出了邊緣交換機模塊,預計今年晚些時候會推出。誠然,40GbE很昂貴,大約每個端口1000美元。40GbE需要Cat6A電纜,這是Cat6價格的兩倍。
10GbE提供了原始帶寬,不過有幾種方法可以將這種帶寬用于共享存儲。在以太網建立塊級SAN可以通過使用iSCSI或者以太網光纖通道(FCoE)來實現。雖然都是使用以太網作為傳輸,區(qū)別在于iSCSI在第三層運行(使用IP來封裝SCSI命令),而FCoE是純粹的第二層。
FCoE并不是完全與本地光纖通道提供的網絡可靠性相同,而增加了IEEE的數據中心橋接(DCB)任務組。DCB實際上融合了幾個標準,目的在于解決本地以太網協議中的不足,并復制了FC和Infiniband功能,例如保證可靠性、擁塞通知、流量控制和流量優(yōu)先級。iSCSI和FCoE之間的選擇在很大程度上取決于你的現有基礎設施。對于新建的部署,iSCSI絕對是不錯的選擇,它更加成熟,更加便宜。
一些虛擬環(huán)境可能能夠完全避免SAN,因為現有管理程序版本(從VMware、CitrixXen和MicrosoftHyper-V)可以支持通過NFS從NAS陣列啟動虛擬機映像。
對于不要求阻止I/O的虛擬應用程序,有很多理由應該使用NFS,它更加容易安裝、管理和擴展,更加便宜,并且,因為它是基于文件的,所以更加容易備份。
虛擬ADC
最新虛擬機管理平臺的自動創(chuàng)建新機器以響應應用程序負載或者硬件故障的能力能夠提高性能和可靠性。因此,虛擬機實時遷移和按需配置應該成為任何下一代環(huán)境的一部分。然而,“顛沛流離的”虛擬機不僅給網絡管理和安全工具帶來問題,而且還給傳統(tǒng)負載均衡器(又稱應用程序交付控制器)帶來影響。
這是虛擬化帶來的另一個問題,這也可以得到解決。
對于處理在很多服務器間平衡應用程序負載或者在故障情況下自動重定向流量到冗余DR站點的傳統(tǒng)方法,通常是使用硬件負載平衡器與異地數據復制。一種新的虛擬網絡負載平衡和廣域網優(yōu)化設備模仿了其之前硬件的功能,這些軟件設備通常更加適合虛擬環(huán)境,因為它們能夠無縫與底層虛擬機管理平臺進行整合,允許自動化重新配置以響應虛擬機移動,并能根據負載增加來進行擴展,而不需要升級。
IT部門的不同團隊負責不同的領域,網絡、服務器和存儲等,這些管理“孤島”問題被虛擬化加劇了,并不能靠純粹的技術解決方案來解決。IT經理必須明確每個管理任務的職責,例如服務器和存儲配置或網絡配置,然后協調不同團隊的共同角色。根據信息周刊的調查,29%的受訪者因為虛擬化而重組或者計劃重組了他們的IT團隊,另外21%的受訪者認為需要重組,但還沒有這樣做,如下圖所示。
虛擬交換機并不會很快消失,但是這些虛擬網絡設備的配置和管理不應該完全交給服務器團隊處理,僅僅因為他們擁有底層虛擬機管理平臺的所有權。在技術允許虛擬端口管理可以在全面的管理工具中進行之前,網絡和服務器團隊必須共享虛擬平臺的權利。供應商正在通過軟件解決這些管理問題,例如思科與VMware合作,將VMware的vSphere整合了思科的Nexus1000V軟件交換機。
網絡團隊必須考慮擴展器架構來方便監(jiān)控、安全和故障排除工具,例如使用虛擬跨度端口(混雜模式端口鏡像)
虛擬基礎架構,真正的影響
企業(yè)虛擬化正從簡單的服務器整合發(fā)展為新型類似云計算的數據中心基礎設施。這種轉變必然會給網絡帶來新的要求,要求增加容量,重新設計的交換機脫坡,新的管理軟件和融合數據和存儲網絡。
對于虛擬化給網絡帶來的諸多問題,需要開發(fā)新的技術和新標準來解決,同時,企業(yè)還應該對虛擬化采取戰(zhàn)略方法以確保IT團隊某個部門獲得利益而不會給另一個部門造成問題。
雖然實現高度虛擬化基礎設施還有很長的路要走,但是最終的結果將會使企業(yè)的性能、可靠性、靈活性和效率達到新的高度。
【編輯推薦】
